Neue Angriffsmethode Hacker finden weitverbreitete Schwachstelle bei Web-Servern
Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver
Foto: Britta Pedersen/ dpaBerlin - Zwei deutsche Sicherheitsforscher haben auf dem derzeit laufenden Kongreß des Chaos Computer Clubs eine schwerwiegende Software-Lücke vorgestellt. Diese Schwachstelle könnten Cyber-Guerillas wie Anonymous, aber auch Online-Erpresser und Internet-Saboteure für Angriffe auf Websites nutzen.
Alexander Klink vom IT-Dienstleister n.runs und der Informatik-Student Julian Wälde zeigten auf dem Hackerkongress in Berlin, wie sich Schwachstellen in einer Vielzahl von Web-Technologien wie Java, ASP.Net, Python, Ruby und Googles V8-Javascript für Überlastungsangriffe auf Server ausnutzen lassen .
Bedenklich ist vor allem, wie weit verbreitet diese Sicherheitslücke ist: Betroffen ist laut Klink und Wälde "jede Website, die eine der oben beschriebenen Technologien einsetzt" - praktisch das halbe Internet.
Um so ärgerlicher, dass diese Lücke theoretisch seit 2003 bekannt ist, wie die Forscher in ihrem Arbeitspapier erläutern (PDF-Datei) . Einige Software-Hersteller hatten schon längst Maßnahmen gegen entsprechende Angriffe ergriffen - andere wurden von den Autoren auf die Probleme hingewiesen und entwickelten daraufhin Sicherheitsaktualisierungen für ihre Dienste.
Microsoft weist nun in einem Technet-Eintrag auf die Gefahren für ASP.Net-Kunden hin: Ein Angreifer könnte mithilfe einer einzigen Datenanfrage alle CPU-Reserven eines Webservers oder gar einer verschalteten Ansammlung von Webservern ("Server-Cluster") für bis zu knapp zwei Minuten ausreizen. Durch wiederholte Angriffe, etwa durch ein Botnet, könnten ganze Serverfarmen ausgeschaltet werden.
Microsoft warnt vor Angriffen auf diese Sicherheitslücke und rät zur sofortigen Überprüfung der eigenen Server. Bis das ASP.Net-Team ein Update veröffentlicht, sollen alle Server-Betreiber eine Reihe von Sicherheitsmaßnahmen ergreifen, um das Risiko zu mindern.
